소프트웨어 기능에 문제 생겼을 때의 대응은 빠른데...
치명적인 취약점 고치는 데 300일, 높은 위험도 취약점은 500일

[보안뉴스 문가용] 애플리케이션의 취약점이 얼마나 위험하게 작용할 수 있는지 강조하고 설명해도 기업들은 꿈쩍도 하지 않았다. 화이트햇시큐리티(White Hat Security)에서 발간한 11번째 애뉴얼 리포트에 따르면 취약점들이 해결되는 데에 걸리는 기간은 ‘여전히’ 수개월에서 수년이었다. 취약점 해결에 이렇게 오랜 시간이 걸리는 이유 역시 복합적이라, 조속한 해결이 쉽지 않아 보인다.

“보안 사고가 아무리 많이 일어나도 애플리케이션 보안의 실태는 전혀 변함이 없어요.” 화이트햇의 제품 관리 책임자인 아스마 주베어(Asma Zubair)의 설명이다. “애플리케이션이 튼튼해지고 있느냐면, 그렇지도 않습니다. 보험 관련 애플리케이션 중 1/3, 은행 및 금융 관련 애플리케이션 중 40%, 의료 및 온라인 상점 관련 애플리케이션 중 절반, 음식, 음료, 생산 관련 애플리케이션 중 절반 이상이 여전히 취약한 상태입니다.”

또한 거의 영구적으로 패치되지 않는 취약점들도 상당수라고 화이트햇은 경고하고 있다. “패치가 이뤄지거나 조치가 취해지는 취약점은 절반도 되지 않습니다.” 게다가 취약점 픽스에 소요되는 평균 기간은 지난 5년 동안 계속해서 증가하고 있다. 그 전 2년 동안 잠깐 이 평균 기간이 줄어든 적이 있긴 했다.

위험도가 ‘치명적’이라고 분류된 취약점이라고 해서 특별한 취급을 받지 않는다는 사실도 드러났다. 심지어 ‘높은 위험도’라고 분류된 취약점은 해결되는 데에 가장 오랜 시간이 걸렸다. 치명적인 취약점이 해결되는 데에 걸리는 평균 기간은 300일, 높은 위험도의 취약점은 500일이었다. 결국 ‘위험도’를 분류해서 관리하는 게 일반 사용자 차원에서는 전혀 참고사항이 되지 않는다는 뜻이다.

소프트웨어의 기능적인 측면에서 오류가 발견되었을 때 기업이 대처하는 것과 비교해보면 보안 취약점에 대한 인식 자체가 거의 없다는 것을 알 수 있다. “업무나 생산에 차질이 생긴다, 하면 정말 빠르게 대처합니다. 그런데 똑같은 사람들이 보안 취약점에 대해서는 세월아 네월아 하는 거죠. 결국 정보보안이 무엇인지, 왜 중요한지를 모르는 거예요.”

결국 공격자들 입장에서는 추수하기 더 없이 좋은 풍년의 때와 같다는 게 화이트햇의 설명이다. “이런 때 수확을 거두지 않는 게 오히려 바보죠. 그렇잖아도 회계연도를 기준으로 지난 사분기 때 웹 애플리케이션에 대한 공격은 25.5% 증가했습니다. 특히 HTTPS를 통한 웹 애플리케이션 공격이 크게 늘어났어요. 234%나 증가했으니 어마어마하죠. SQL 인젝션 공격도 87.3% 뛰었고요.”

해당 보고서는 여기서 열람이 가능하다(영문).
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA 등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)